Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

now_playing.rb pour weechat Erreur de Validation d'Entrée de Tag id3

16/08/2007 22H16
Référence Secunia : SA26457 
Date de publication : 2007-08-15

Risque : Non Critique. Niveau 2 sur 5.
Impact : Contournement de la Sécurité
Lieu : A distance


Solutions :
Non corrigée


Produit :
now_playing.rb pour weechat 0.x

Description :
Wouter Coekaerts a rapporté une vulnérabilité dans now_playing.rb, qui pourrait être exploitée par des personnes malintentionnées pour passer outre certaines restrictions de sécurité.

La vulnérabilité est causée du fait que now_playing.rb ne filtre pas correctement des tags id3 avant des envoyer à weechat. Cela pourrait être exploité pour par ex. envoyer des commandes arbitraires à un serveur en incitant un utilisateur à jouer et annoncer un fichier MP3 spécialement conçu.

La vulnérabilité est rapportée en version 0.1. Les autres versions pourraient également être affectées.


Solutions :
Ne pas play et announce untrusted audio files. Utiliser un autre produit.


Vulnérabilité découverte par :

Wouter Coekaerts

Référence :
http://wouter.coekaerts.be/site/security/nowplaying




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.